Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Nein, diese E-Mail stammt nicht von der Helsana. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Attacke erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt erneut: Kriminelle versenden aktuell gefälschte E-Mails im Namen von Krankenkassen, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Krankenkasse Helsana verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Cyberkriminelle machen sich die aktuelle Diskussion um die steigenden Krankenkassenprämien zunutze und versenden gefälschte E-Mails im Namen von Helsana mit dem Ziel, Computer in der Schweiz mit dem E-Banking-Trojaner ‹Retefe› zu infizieren. Nicht öffnen, sondern löschen!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Die Schadsoftware kann auch Android-Smartphones befallen. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger mit dem Betreff «Erhöhung der Preise ab Oktober 2018» lautet:

Sehr geehrter Kunde,

Wir setzen Sie hiermit in Kenntniss, dass die Sparbeiträge in der nächsten Zeit erhöht werden.

Sie können sich mit der notwendigen Information im Anhang bekannt machen.

Freundliche Grüsse
Ihr Helsana-Newsletter-Team

Diese E-Mail sollte man sofort löschen

Bild

Die E-Mail gibt vor, dass die Krankenkassenprämien bei Helsana steigen. Weitere Informationen finde man im Mail-Anhang.

Die unbekannten Täter setzen darauf, dass einige der Angeschriebenen tatsächlich bei Helsana versichert sind und aufgrund der gestrigen Medienberichterstattung über die steigenden Krankenkassenprämien kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden die infizierten E-Mails vermutlich wieder an Tausende Schweizer. Wenn nur ganz wenige Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Bild

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Botschaft dazu zu verleiten, den Schutz selbst zu deaktivieren, damit sich Retefe installieren kann.

Wichtig ist, dass die mit der Schadsoftware infizierten Webseiten von den Internet-Providern schnell gesperrt werden, so dass der infizierte Mail-Anhang den E-Banking-Trojaner Retefe nicht mehr herunterladen kann.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Malware-Welle.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind.

Bild

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Animiertes GIF GIF abspielen

«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht. gif: watson

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

(oli)

Brandgefahr bei Akkus. Das tust du im Ernstfall.

abspielen

Video: srf

Sieben eindrückliche Hacker-Attacken

Das könnte dich auch interessieren:

5 Promi-Seitensprünge und ihre Ausgänge (und was diese Dame damit zu tun hat)

Link zum Artikel

«Eine Hure zu sein, war oft top», sagt Virginie Despentes aus Erfahrung

Link zum Artikel

«Vielleicht sind die Regeln einfach falsch» – VAR-Penalty sorgt für hitzige Diskussionen

Link zum Artikel

Kevin Schläpfer – Oltens verpasste «Jahrhundert-Chance» und Langenthals «Anti-Anliker»

Link zum Artikel

«Rape Day»: Gaming-Plattform bringt Vergewaltigungsgame raus – und löst Shitstorm aus

Link zum Artikel

Diese Schweizerin trug 365 Tage lang dasselbe Kleid

Link zum Artikel

Ihr spinnt! Wieso trinkt ihr im Restaurant kein Leitungswasser?

Link zum Artikel

Stellt das Popcorn bereit: Trumps Anwalt Michael Cohen will auspacken

Link zum Artikel

10 Schauspieler, die ihre grössten Rollen nicht mehr leiden können

Link zum Artikel

Schär ist der beste Verteidiger in England – nach dem Supertor dreht sogar Shearer durch

Link zum Artikel

So ticken die Putinversteher

Link zum Artikel

Warum die FDP (vielleicht) gerade unsere Beziehung zu Europa gerettet hat

Link zum Artikel

Der EHC Kloten, die Hockey-Titanic – so viel Talent, so miserabel trainiert und gecoacht

Link zum Artikel

Boeing aktualisiert Software für Unglücksmaschine

Link zum Artikel

5 Elektroauto-Gerüchte im Check: Ein paar sind richtig, ein paar aber kreuzfalsch

Link zum Artikel

Hinter den Kulissen von «Game of Thrones» haben sich alle lieb. Hier 15 Beweis-Bilder!

Link zum Artikel

Papst Franziskus – der Reformer, der keiner ist

Link zum Artikel

Die Post lässt sich ein bisschen hacken – und macht sich zum Gespött der Hacker

Link zum Artikel

Samsung hat das Galaxy Fold enthüllt, das unsere Smartphones für immer verändern könnte

Link zum Artikel

Mein Abstieg in die Finsternis – Wie ich zur Katzenfrau wurde

Link zum Artikel

«Er hatte keine Zeit für mich» – Streit zwischen Federer und Djokovic eskaliert

Link zum Artikel

«Breaking Bad» kommt zurück – dazu die 10 besten Zitate von Jesse Pinkman

Link zum Artikel

Hier kommt ein Feel-Good-Dump für alle, die ein bisschen Aufmunterung gebrauchen können

Link zum Artikel

Zwangsschulfrei wegen Masern: Schon 12 Fälle an Steiner-Schule – warum das kein Zufall ist

Link zum Artikel

Es lebe die Superheldin! Steckt euch euren «Feminismusscheiss» sonstwohin

Link zum Artikel

Sorry, aber wir müssen wieder über Trump und Faschismus reden

Link zum Artikel

Boeing 737 Max 8: Diese europäischen Airlines setzen ebenfalls auf die Unglücksmaschine

Link zum Artikel

Im Juni wurde «The Beach» geschlossen – jetzt zeigt sich, wie gut dieser Entscheid war

Link zum Artikel

«Doping ist wie beim Hütchenspiel. Du weisst, dass es Betrug ist. Aber du spielst mit»

Link zum Artikel

Warum der Schweizer Klubfussball auf dem absteigenden Ast ist

Link zum Artikel

Erleuchtung für 190 Franken: Ist diese 17-Jährige die neue Uriella?

Link zum Artikel

9 Grafiken rund um das Elektroauto in der Schweiz

Link zum Artikel

Das Huber-Quiz! Heute mit einer Premiere!

Link zum Artikel

Und jetzt: Die fiesen Sex-Fails der watson-User! 🙈

Link zum Artikel

Hat das Parlament gerade unser Internet gerettet? – Es soll kein Zwei-Klassen-Netz geben

Link zum Artikel

Man liebt den Verrat, aber selten die Verräterin – nein, Galladé verdient Lob

Link zum Artikel

27 Sprüche, die zeigen, dass wir unbedingt auch Jahrbücher in den Schulen brauchen

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

16
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sharkdiver 25.09.2018 21:12
    Highlight Highlight Also wer ist schon so dämlich, Fakes nicht zu erkennen, wenn bei der Krankenkasse von Sparprämien gesprochen wird 🙄
  • BlueRose 25.09.2018 20:46
    Highlight Highlight Naja Kenntniss ... doppel S? Schon das macht mich stutzig!
  • Der Kritiker 25.09.2018 19:03
    Highlight Highlight Ganz allgemein häufen sich bei uns im Geschäft wieder Anrufe, die CFO oder CEO verlangen, und dabei versuchen, weitere Informationen über die Entscheidungsträger zu erlangen. Mit diesen Daten versuchen sie dann, mit täuschend echten Emails, Anweisungen für dringende Zahlungen an die Buchhaltung zu geben. Im letzten Jahr hatten wir einen solchen Fall. Bei unkritisch oder stark unter Druck stehenden Mitarbeiter kann dies schnell zu immensen Verlusten führen.
  • yellowastra 25.09.2018 18:09
    Highlight Highlight Sollte man sofort löschen oder darf es auch nur löschen sein? Gibt es eine 5 sek regel für Email anhänge?
    Sickert irgendwas durch wenn ich die erst 10min nach dem sehen lösche?
    Fragen über fragen.🙄
  • Anybody home? 25.09.2018 16:00
    Highlight Highlight Fahre mit Outlook und Win95.
    Kann mir jemand den Treiber senden um retefe auszuführen. 😁
    Besten Dank. 😂
  • Hallo I bims. Ein AfterEightUmViertelVorAchtEsser 25.09.2018 14:12
    Highlight Highlight Hilfreich ist es auch, den Absender genau anzuschauen. Wenn da nicht "...@helsana.ch" oder "...@helsana.com" steht, ist es zumindest mal sehr verdächtig.

    Benutzer Bild
    • riqqo 25.09.2018 16:09
      Highlight Highlight Hilfreich wäre, wenn die E-Mail-Absender wieder mit E-Mail und nicht mit Namen angezeigt werden würden. Aber das lässt sich leider nicht einstellen, dies müssten wohl die entwicklenden Personen machen...
    • Der Kritiker 25.09.2018 18:58
      Highlight Highlight After eight, auch dies lässt sich heute "faken", somit hier vielleicht eindeutig, bei guten phishing-Attacken jedoch auch kein Garant.
    • Sarkasmusdetektor 26.09.2018 13:08
      Highlight Highlight Das hilft nur bei Webseiten bzw. Links, nicht bei E-Mails. Die Absender-Adresse eines Mails lässt sich sehr einfach ändern.
  • kirishion 25.09.2018 13:41
    Highlight Highlight Also ich hab schon viele betrügerische Emails gesehen, die meisten erkennt man ja relativ schnell. Aber das Mail im Screenshot, das sieht richtig professionell aus...

    Die werden immer besser... weniger versierte User weden da schnell reinfallen..
  • Skip Bo 25.09.2018 12:54
    Highlight Highlight Frage von Laie an Profis: Können solche E-Mails Schaden anrichten, wenn diese mit Android/IOS und einer Office App geöffnet werden?
    • El Vals del Obrero 25.09.2018 14:19
      Highlight Highlight Die Frage ist letztendlich, ob Makros/VBA mit diesen Android-Office-Apps funktionieren.

      Meines Wissens ist das nicht der Fall. Von dem her ist das Risiko sicher viel geringer als mit MS-Office auf einem Windows-System.

      Ganz auf der sicheren Seite würde ich mich trotzdem nicht fühlen und die Dateien besser nicht öffnen. Mit zunehmender Verbreitung von Android-Office-Apps könnten ja auch deren Sicherheitslücken ausgenützt werden.
    • Anybody home? 25.09.2018 16:03
      Highlight Highlight Frag doch auf der Hotline von Helsana, Laie.

      Löschen❗Nur das gilt und bringt keinen Ärger für 0815 User.
  • thelastpanda 25.09.2018 12:42
    Highlight Highlight Ein wenig Skepsis ist halt schon Voraussetzung für einen sicheren Umgang mit dem Internet. Wenn dann die Helsana die Prämienmitteilung plötzlich via Mail und als Word-Datei schickt, sollten schon die Alarmglocken klingeln.
    • schuldig 25.09.2018 13:25
      Highlight Highlight Vor allem, wenn da von "Sparbeiträgen" die Rede ist
      Kann man da wirklich drauf reinfallen?
    • Der Kritiker 25.09.2018 19:05
      Highlight Highlight Schuldig, denk mal an die Ausländer in unserm Land, die der deutschen Sprache nicht wirklich mächtig sind.

Ja, Herrgott nochmal, man darf fürs Klima streiken und in die Ferien fliegen!

Liebe Klima- und Umweltaktivisten-Kritiker, dieser Text ist für euch. Denn man kann sehr wohl für Klimaschutz kämpfen, ein Smartphone besitzen und in ein Flugzeug steigen.

Liebe User, wir müssen reden. Es gibt da etwas, das macht mich richtig wütend.

Da ist zum Beispiel die 16-jährige Schwedin Greta Thunberg, die mit ihrem Schulstreik gegen den Klimawandel Schüler auf der ganzen Welt inspiriert und politisiert. Thunberg reiste im Februar 65 Stunden von Schweden nach Davos, um das World Economic Forum zu besuchen. Während die schwedische Aktivistin Stunden auf Schienen durch vier Länder fuhr, wurde sie in den sozialen Medien kübelweise mit Häme überschüttet. …

Artikel lesen
Link zum Artikel